複数のsecurity修正によるアップデート

リリース日付 : 2001-6-25

対策パッケージ : openssl-0.9.6a-3

問題点
OpenSSL の最新版 0.9.6a では, 以下のような Security fix がなされています。
1. root権限で動作する場合に環境変数を使わないようにしました。
2. RSA-CRTの結果をチェックし、不適切に計算された署名からプライベートキーを類推される危険を減らしました。
3. DSA攻撃を防ぐ修正が加えられました。
4. 暗号化プログラム内においてマスターキーを得たらプリマスターキーをゼロにするようにしました。
*openssl アップデート時のご注意 openssl-0.9.6aへアップデートする際に以下のパッケージを使用している場合は注意が必要です。
openssh
apache
mod_ssl

これらのパッケージは、opensslに強く依存しています。従って、opensslのみアップデートされた場合,今まで正常に動作していたものが、動作しなくなります。特にOpenSSL を使用して Secure Web Server(https) を利用している場合は、mod_ssl パッケージを手動で選択しなければならないので注意が必要です。
openssh,apache,mod_sslを使用しているお客様は、必ず以下のpackageにアップデートしてください。

---openssh---
openssh-2.9p1-1.i386.rpm
openssh-askpass-2.9p1-1.i386.rpm
openssh-askpass-gnome-2.9p1-1.i386.rpm
openssh-clients-2.9p1-1.i386.rpm
openssh-server-2.9p1-1.i386.rpm

---apache---
apache-1.3.19-4.i386.rpm
apache-devel-1.3.19-4.i386.rpm
apache-manual-1.3.19-4.i386.rpm

---mod_ssl---
mod_ssl-2.8.3-4.i386.rpm

対策
以下のコマンドを実行し、バージョンをご確認ください。

# rpm -qa | grep openssl

この問題に該当する場合は、最新パッケージをダウンロードし、以下のコマンドによってパッケージのアップデートを行ってください。
なお、バージョン番号については、ダウンロードしたパッケージ番号に読み替えて実行してください。

# rpm -Uvh openssl-0.9.6a-3.i386.rpm